Kilku naszych czytelników donosi, że wczoraj wieczorem padli ofiarą phishingu – tym razem „na iPKO”. Natomiast dzisiaj od rana napływają do nas bardzo niepokojące informacje. Okazuje się, że skala tego zjawiska bardzo szybko przybiera na sile. Niektóre osoby otrzymują po kilka takich wiadomości, a inne po kilkadziesiąt. Za to skrzynki pocztowe prawdziwych pechowców, jak np. Daniela (dzięki za info) są dosłowanie zalewane spamem - ponad 100 wiadomości od wczoraj.  

Phisherzy w tym przypadku może i postarali się o poprawną polszczyznę, lecz wiadomość ta jest tak fatalnie skonstruowana, że trudno nabrać się na to oszustwo. Oryginalna treść:

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie iPKO, powodem jest nieautoryzowany dostęp do konta.

W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.ipko.plhiperłącze do fałszywej strony hxxp://kontrola-ipko.com/
Serdecznie pozdrawiamy,
Zespół PKO Bank Polski

W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 801 307 307

Ten e-mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać. Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna z siedzibą w Warszawie przy ul. Puławskiej 15, 02-515 Warszawa, zarejestrowana w Sądzie Rejonowym dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000026438; NIP: 525-000-77-38 REGON: 016298263; kapitał zakładowy (kapitał wpłacony) 1 250 000 000 zł.

Jeżeli ofiara nieświadoma fałszywej wiadomości kliknie w hiperłącze, zostanie przekierowana do podstawionej i bardzo przypominającej tą prawdziwą stronę banku, różnice są subtelne i jak zwykle tkwią w szczegółach: https://www.ipko.pl. 

Procedura przejęcia poufnych danych dostępowych użytkownika jest standardowa w takich przypadkach. Ofiara w ramach "weryfikacji" swojego konta proszona jest o wpisanie swojego loginu / identyfikatora / numer klienta oraz hasła. Następnie przekierowywana jest do kolejnej strony, 


gdzie proszona jest o podanie trzech jednorazowych kodów z karty. I to wystarczy, aby w najbliższym czasie bliżej niezidentyfikowana osoba, która weszła w posiadanie loginu, hasła oraz jednorazowego kodu zalogowała się na konto ofiary i wykonała transfer pieniędzy na inne, podstawione konto.

W takich przypadkach należy pamiętać, żebank NIGDY nie poprosi o weryfikację konta lub o podanie jakichkolwiek danych drogą e-mailową lub SMS-ową. Co więcej - tutaj ciekawostka - w niedalekiej przyszłości bank iPKO zablokuje możliwość zapamiętywania danych logowania do konta w przeglądarkach internetowych - aż strach pomyśleć, że są takie osoby. 
 

Przykładowe wykrycie phishingu przez usługę Webroot BroghtCloud

Komentarz przedstawiciela Banku na nasz artykuł:

Oczywiście PKO Bank Polski nie jest autorem tych maili, są one rozsyłane losowo przez osoby podszywające się pod Bank. 

Tego rodzaju fałszywe strony są zawsze na wniosek Banku blokowane – już podjęliśmy odpowiednie kroki. Reagujemy natychmiast na każdy sygnał o wysyłce fałszywych maili i każdy przypadek jest przez nas zgłaszany do organów ścigania oraz do międzynarodowych zespołów CERT, które zajmują się zwalczaniem przypadków naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości.

Klientów ostrzegamy w serwisach transakcyjnych, na stronach banku i w korespondencji. Prowadzimy również akcję edukacyjną w mediach społecznościowych i wydawnictwach bankowych.

Przypominamy, że bank nigdy nie prosi o podawanie jakichkolwiek danych drogą e-mailową lub SMS-ową. Prosimy o zachowanie ostrożności i ograniczonego zaufania w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linku. Ostrzegamy, że są to fałszywe wiadomości mające na celu nie tylko wyłudzenie od odbiorcy danych osobowych lub danych karty, ale także zainstalowanie na jego komputerze lub w telefonie potencjalnie szkodliwych programów podglądających i śledzących jego działania.

Prosimy nie odpowiadać na tego typu e-maile, nie korzystać z podanego linku i nie udostępniać danych osobowych, loginu i haseł do konta, kodów jednorazowych, jak również danych dotyczących karty płatniczej – PIN-u, kodu CVV. Te dane są do wyłącznej wiadomości klienta.

AUTOR:

Adrian Ścibor

Podziel się